Haus & Tesla: Microsoft-Entwickler stahl mit Store-Testkonto Millionen

Die US-Behörden haben Anklage gegen einen ehemaligen Mitarbeiter von Microsoft erhoben, der seine Privilegien als Tester der Online-Dienste des Softwarekonzerns offenbar ausgenutzt hat, um illegal an rund 10 Millionen Dollar in Form einer digitalen Währung zu gelangen. Wie die Bundesanwaltschaft in Seattle verlauten ließ, hat man einen 25-jährigen ukrainischen Staatsbürger angeklagt, weil er Digitalwährung im Wert von rund 10 Millionen Dollar gestohlen haben soll. Dabei nutzte er einen Trick, der ihm dank seiner Tätigkeit als Tester von Microsofts Online-Verkaufsplattform bekannt war. Mit Digitalwährung sind in diesem Fall konkret unter anderem Geschenkkarten für den Microsoft Store und andere Angebote der Redmonder gemeint.

Betrüger kaufte sich einen Tesla und eine teure Villa

Der Ukrainer war laut den Kollegen von The Register als Software-Entwickler für das Universal Store Team (UST) von Microsoft tätig, wo er seit August 2016 bis zu seiner Entlassung im Juni 2018 arbeitete. Der Entwickler war damit betraut worden, den alltäglichen Betrieb der E-Commerce-Plattform von Microsoft sicherzustellen. Die UST-Plattform ist die zentrale Basis aller digitalen Vertriebswege von Microsoft, deckt also unter anderem den Windows bzw. Microsoft Store ab, aber auch sämtliche anderen Outlets.

Weil das Entwickler-Team bei seiner Erprobung der Plattform einen Fehler machte, war es dem Angeklagten möglich, digitale Geschenkkarten zu erwerben, mit denen er einen gültigen Produktschlüssel erhielt, über den sich einem digitalen Konto Werte gutschreiben ließen. Das so erworbene Guthaben konnte dann ganz normal verwendet werden, um digitale oder physische Microsoft-Produkte aus dem Store zu erwerben. Der Angeklagte verkaufte das Guthaben im Wert von 10 Millionen Dollar zum größten Teil unter der Hand zu reduzierten Preisen weiter und gelangte so an nicht unerhebliche Geldmengen.

Nachdem der Entwickler 2017 mit seinen illegalen Aktivitäten begonnen hatte, trieb er es angeblich so weit, dass er sich letztlich unter anderem ein Tesla-Elektroauto im Wert von 162.000 Dollar und ein Haus in einem Vorort von Seattle im Wert von 1,6 Millionen Dollar leistete. Ein internes Team, das wegen möglicher Betrugsversuche ermittelte, kam dem Täter letztlich auf die Schliche, weil sich die IDs der Guthabenkontingente, die er über zwei verschiedene Websites weiterverkauft hatte, auf zwei mit dem Entwickler assoziierte Store-Accounts zurückverfolgen ließen.

Das Problem war, dass das Team hinter dem Store bei der Erprobung des Systems bestimmte Konten verwendete, die auf einer "Whitelist" für Accounts stehen, für deren Käufe keine tatsächliche Abbuchung der Kosten erfolgte.